Vatandaşların kişisel verilerini oltalama saldırılarıyla ele geçirip dolandırıcılara satan 20 siber suçlu yakalandı.
Diyarbakır Siber Suçlarla Mücadele Şube Müdürlüğü ekiplerinin düzenlediği “kalkan operasyonu” kapsamında deep web üzerinde yürütülen sanal devriyede hackerlar yakalandı.
İl Emniyet Müdürlüğü Siber Suçlarla Mücadele Şube Müdürlüğü ekipleri, son zamanlarda şirketlerin, sistemlerinde veri ihlallerinin olduğunu bildirmesi üzerine çalışma başlattı.
Ekipler, “Deep Web” ortamında yürüttükleri sanal devriye faaliyetleri sonucu 20 hacker tespit etti.
Diyarbakır merkezli 11 ilde gerçekleştirilen eş zamanlı operasyonda 20 şüpheli yakalandı. Söz konusu adreslerde yapılan aramalarda çok sayıda cep telefonu ve bilgisayar ele geçirildi. Diğer illerde yakalanan şüpheliler ise uçakla Diyarbakır’a getirildi.
ÇALDIKLARI BİLGİLERİ DEEP WEB ÜZERİNDEN SATMIŞLAR
Emniyet kaynakları, şüphelilerin özellikle geniş yetkilere sahip üst düzey kamu görevlilerini hedef aldıklarını, gönderdikleri sahte maillere tıklayan kişilerin şifrelerini ele geçirdiklerini, bu şifreler sayesinde vatandaşların kimlik, adres, kredi kartı bilgilerini ele geçirip, bu bilgileri dolandırıcılara sattıklarını belirtti.
Şüphelilerin kurdukları illegal platforma herkesin üye olamadığı, üye olmak için “içeriden birileri”nin referans olması gerektiği ve içeride kalabilmek için işledikleri suçları birbirlerine anlattıkları ve ele geçirdikleri bilgileri paylaşmaları gerektiği belirlendi.
Bu platform üzerinden şüphelilerin, siber polislere yakalanmamak için neler yapılması gerektiğini de birbirlerine anlattıkları tespit edildi.
Örgütün elebaşı olduğu belirtilen şüphelinin başka bir suçtan halen tutuklu bulunduğu, yakalananlar arasında örgütün diğer yöneticilerinin yer aldığı, örgüt yöneticilerinin birbirlerini sadece sanal isimleriyle tanıdığı, gerçek hayatta tanışmadıkları da öğrenildi.
Android işletim sistemi üzerinden saldıran StrongPity çetesinin Türk hacker grubu olduğu iddia edildi.
Siber güvenlik şirketi ESET’in yaptığı bir araştırmaya göre Türk bir grup olduğu düşünülen StrongPity adlı grubun dar bir çevreden veri toplamak için sahte bir Android görüntülü sohbet uygulaması kullandığını ortaya çıkardı.
StrongPity, yetişkin görüntülü sohbet sitesi olan Shagle’ı taklit eden bir internet sitesini ve kullanıcıların telefon görüşmelerini, SMS mesajlarını ve düzinelerce mobil uygulamadan veri çalabilen bir uygulamasını oluşturarak kullanıcıları tuzağa düşürdü.
TELEGRAM’IN AÇIK KAYNAK KODUNU KULLANMIŞLAR
Slovakya merkezli siber güvenlik şirketi ESET’e göre StrongPity adlı grup, kötü niyetli uygulamayı, yabancılar kişiler arasında şifreli iletişim sağlayan Shagle adlı gerçek bir görüntülü sohbet hizmetini taklit eden bir internet sitesi aracılığıyla dağıttı.
Tamamen web tabanlı olan ve resmî bir uygulaması olmayan Shagle’ı taklit eden internet sitesi aracılığıyla dağıtılan sahte uygulama, StrongPity’nin arka kapı koduyla yeniden paketlenmiş mesajlaşma uygulaması Telegram’ın değiştirilmiş bir açık kaynak koduna dayanıyor.
Çeşitli casusluk yeteneklerine sahip olan sahte uygulama, kullanıcıların telefon görüşmelerini kaydedebiliyor, SMS mesajlarını ve kişi listelerini toplayabiliyor ve eğer kullanıcılar bu sahte uygulamada erişime izin verdiği takdirde Instagram, Twitter, Messenger ve Snapchat gibi diğer mobil uygulamalardan veri çalabiliyor.
StrongPity’nin bu sahte uygulamayla yaptığı bir diğer şey de Samsung cihazlardaki resmî güvenlik uygulamasını devre dışı bırakmaya çalışmak oldu.
KURBANLARIN KİM OLDUĞU BİLİNMİYOR
Kötü amaçlı uygulama Kasım 2021’de piyasaya sürülmesine rağmen ESET, kurbanlarından hiçbirini tespit edemedi. Araştırmacılar bunun nedeninin kampanyanın “çok dar hedefli” olması olduğunu öne sürdü.
ESET ayrıca potansiyel kurbanların taklitçi internet sitesine nasıl çekildiğini veya bu internet sitesini nasıl keşfettiğini de belirleyememesine rağmen her iki sitenin de ana sayfalarının neredeyse aynı göründüğünü ama taklitçi olanın ziyaretçileri görüntülü sohbet başlatmak yerine bir uygulama indirmeye yönlendirdiğini belirtti.
Google Play mağazasında hiçbir zaman kullanıma sunulmayan sahte uygulamayı kullanıcılar yalnızca doğrudan taklitçi internet sitesinden indirebildi.
Sahte Shagle uygulamasının artık aktif olmadığını belirten araştırmacıları bunun sebebinin, grubun ilk test amaçları için Telegram’dan örnek bir API kimliği kullanmış olduğu ama bu kimliğin Telegram tarafından devre dışı bırakılmış olduğunu söyledi.
Araştırmacılar raporlarında, “Uygulamanın yeni ve çalışan bir sürümü internet sitesi aracılığıyla hiç kullanıma sunulmadığından, StrongPity’nin kötü amaçlı yazılımı istediği hedeflere başarıyla dağıttığını gösterebilir.” ifadelerini kullandı.
GRUP UYGULAMAYI GÜNCELLERSE TEHLİKEYE YOL AÇABİLİR
Her iki uygulama da Telegram kimliğini kullandığı için Android’de bir arada bulunamayacağını söyleyen araştırmacılar, Telegram’ın hâlihazırda yüklü olduğu potansiyel kurbanların cihazlarına sahte Shagle uygulamasını yüklemenin imkânsız olduğunu belirtti.
ESET araştırmacılarına göre bu durum ya StrongPity’nin daha önce potansiyel kurbanlarıyla iletişim kurduğunu ve onları Telegram’ı cihazlarından kaldırmaya ikna ettiğini ya da kampanyanın Telegram’ın kullanılmadığı ülkelere odaklandığını gösteriyor.
Uyarıda da bulunan araştırmacılar uygulama şu anda kullanılamıyor olsa da StrongPity’nin uygulamayı güncellemeye karar vermesi hâlinde bu durumun her an değişebileceğini vurguladı.
KÖTÜ AMAÇLI ANDROİD UYGULAMASI GEÇMİŞLERİ VAR
StrongPity’nin kullanıcıları gözetlemek için Android kötü amaçlı yazılım kullanma geçmişi bulunuyor.
Grup geçtiğimiz yıl Suriye e-devlet Android uygulamasının kötü niyetli bir versiyonunu yaratmıştı. Trend Micro tarafından yapılan araştırmaya göre bu uygulama, kişi listelerini çalabiliyor ve kurbanının cihazından dosya toplayabiliyordu.
ESET’e göre bir önceki kampanyaya kıyasla yeni StrongPity arka kapısı daha geniş casusluk özelliklerine sahip. StrongPity’nin hangi ülke tarafından desteklendiği belli olmasa da bazı güvenlik araştırmacıları bunun muhtemelen bir Türk grubu olduğunu söyledi.
StrongPity 2012’den beri aktif ve genellikle belirli kullanıcılar tarafından kullanılan yasal yazılımlara arka kapılar ekleyerek aynı taktikleri izliyor.
StrongPity’nin zararlı yazılımları şimdiye dek İtalya, Belçika, Cezayir ve Fransa’da binlerce sisteme bulaştığı biliniyor.
Çin merkezli e-ticaret firması Alibaba’nın Ankara’ya veri merkezi kurma kararı aldığı bildirildi.
Sabah gazetesine konuşan Alibaba CEO’su Michael Evans söz konusu projeyi doğruladı.
Habere göre 1 milyar dolardan fazla yatırım planlayan şirket İstanbul’da bir lojistik merkez, başkente ise data center kuracak.
Ortadoğu ve Avrupa’da çeşitli yatırımlar yapmayı düşündüklerini belirten Evans, Türkiye’yi güçlü bir üretim merkezi olarak gördüklerini kaydetti. Evans İstanbul Havalimanı üzerinden birçok yere ihracat projesi gerçekleştirmeyi plandıklarını sözlerine ekledi.
Türkiye’nin de aralarında bulunduğu Dünya çapında bankaları hedef alan siber tehdit aktörleri Godfather truva atıyla yeniden sahneye çıktı. Türkiye ABD’den sonra ikinci sıradaki hedef oldu.
Siber Bülten’le bankacılığa yönelik tehditlerin yer aldığı bulguları paylaşan siber güvenlik şirketi Group-IB, 16 ülkede 400’den fazla uygulamanın kullanıcılarını hedef alan bir bankacılık truva atına ilişkin bilgiler verdi.
Android platformunda çalışan bankacılık truva atı Godfather‘ın, kullanıcıları ikna edici sahte web siteleri ve sızılan cihazın ekranında uygulama üstünde görüntüleme gibi taktiklerle şu ana dek 400’den fazla uygulamanın müşterilerine saldırı düzenlendiği ortaya çıktı.
Godfather’ı kullanan kötü amaçlı kişiler bu yöntemle kurbanların giriş bilgilerini çalmaya, ayrıca iki faktörlü kimlik doğrulamasını atlatarak kurbanların hesaplarına erişmeye ve paralarını çekmeye çalışıyor. Group-IB’nin siber tehdit istihbaratı ekibi, bu yeni Android truva atına yönelik araştırmalarında Godfather’ın, işlevselliği Android güncellemeleriyle ve kötü amaçlı yazılım tespit ve engelleme çözümü sağlayıcılarının geçmişteki çabalarıyla sınırlanan; çok yaygın kullanılan bankacılık truva atı Anubis‘in yeni versiyonu olduğunu keşfetti. Söz konusu araştırma Godfather’ın kullanımının günden güne arttığını da gösterdi.
Araştırmaya göre Ekim ayından bu yana 215 banka, 94 kripto cüzdan sağlayıcısı ve 110 kripto borsa platformu Godfather’ın hedefi oldu. Ayrıca truva atı geniş bir coğrafyaya odaklanıyor, çünkü sayısı bir düzineyi aşan farklı ülkelerdeki birçok kullanıcı, giriş bilgilerini kötü amaçlı kişilere çaldırma tehlikesiyle karşı karşıya.
Group-IB’nin bulgularına göre söz konusu truva atı ile en fazla hedef alınan bankacılık uygulamaları ABD’de 49, Türkiye’de 31, İspanya’da 30, Kanada’da 22, Fransa’da 20, Almanya’da 19 ve Birleşik Krallık’ta 17 şirket bulunuyor.
ARKASINDA RUSÇA KONUŞAN TEHDİT AKTÖRLERİ OLABİLİR
Firmanın araştırmasına göre Godfather’ın yazılımında truva atının Rusça ya da eski Sovyetler Birliği’nde kullanılan dillerden birini konuşan kullanıcılara saldırmasını engelleyen bir işlev bulundu. Bu durum Godfather’ın geliştiricilerinin Rusça konuştuğunu düşündürebilir. Truva atı, bunu, bulaştığı cihazın sistem dilini kontrol ettikten sonra dilin Rusça, Azerice, Ermenice, Belarusça, Kazakça, Kırgızca, Moldovoca, Özbekçe veya Tacikçe olması halinde kendini kapatarak gerçekleştiriyor.
Araştırmacılara göre Godfather, kaynak kodu 2019 yılında sızdırılan Anubis bankacılık truva atının geliştirilmiş bir sürümü. Anubis’in işlevleri Android güncellemeleriyle azaltılmıştı. Sonrasında kötü amaçlı yazılım geliştiricileri, bu truva atını güncellemek ve hiçbir şeyden habersiz kullanıcılara saldırmaya devam edebilmesini sağlamak için yeni yollar aradı.
Uzmanlar,Anubis ile Godfather’ın aynı kod tabanına sahip olduğunu fakat Godfather’ın komuta ve kontrol iletişim protokollerinin ve kabiliyetlerinin güncellendiğini tespit etti. Ayrıca Godfather’ın geliştiricileri Anubis’in trafik şifreleme algoritmasını değiştirmiş, Google Authenticator OTP’leri (tek kullanımlık şifreler) gibi bazı işlevleri güncellemiş ve sanal ağ bilgi işlem bağlantılarını yönetebilmek için ayrı bir modül eklemişti. Anubis’te bulunan dosya şifreleme, ses kaydetme ve GPS verisi çözümleme gibi truva atı işlevleri kaldırılmıştı.
Analistler, Godfather’ı ilk olarak Haziran 2021’de tespit etti. Godfather’ın dolaşımı Haziran 2022’de durmuştu. Uzmanlar, bunun sebebinin bu kötü amaçlı yazılımın tekrar güncellenmesi olduğuna inanıyor. Sürecin devamında Godfather Eylül 2022’de tekrar ortaya çıktı. Bu sefer WebSocket işlevi kısmen değiştirilmişti. Bu truva atını diğerlerinden farklı kılan bir özelliği ise Hizmet olarak kötü amaçlı yazılım (MaaS) modeli kullanılarak dağıtılabilmesi idi. Araştırmacılar aynı zamanda Godfather’ın C&C (komuta ve kontrol) adreslerinin Anubis’te olduğu gibi Telegram kanal tanımları üzerinden paylaşıldığını tespit etti.
GOOGLE PLAYSTORE ÜZERİNDEN CİHAZLARA BULAŞMIŞ OLABİLİR
Zararlı yazılımın cihazlara nasıl bulaştığı henüz netleşmezken, Godfather truva atının, Google Play Store’da yer alan kötü amaçlı bir uygulamanın içinde yer aldığı düşünülüyor. Godfather bir cihaza indirildiğinde, Google Play Store’dan uygulama indirilmesi halinde bir kereye mahsus çalışan ve gerçek bir uygulama olan Google Protect’i taklit ederek cihazda kalıcı olmaya çalışıyor. Bu kötü amaçlı yazılım, gerçek Google uygulaması gibi davranabiliyor ve kullanıcıya “tarama yaptığını” belirten bir ekran gösteriyor. Fakat kötü amaçlı yazılımın yaptığı şeyin taramayla hiçbir ilgisi yok. Aksine, kalıcı bir “Google Protect” bildirimi oluşturuyor ve simgesini yüklenen uygulamalar listesinden gizliyor.
“Google Protect” adıyla görünen bu kötü amaçlı yazılım ayrıca, geliştiricilerin uygulamalarını engelli kullanıcılara uyarlamak için kullandığı bir Android özelliği olan AccessibilityService’e erişim istemek için bir hizmet başlatıyor. AccessibilityService’e erişim isteği; kullanıcı, sahte Google Protect uygulamasındaki “Scan” (Tara) butonuna bastığında da gönderiliyor. AccessibilityService’e erişim elde eden Godfather, kendisine gerekli izinleri vererek C&C sunucusuyla iletişim kurmaya başlıyor.
GODFATHER KULLANICILARI DEFALARCA TUZAĞA ÇEKİYOR
Cihazına kötü amaçlı yazılımın bulaştığından bihaber olan kullanıcı, günlük hayatına devam ediyor. Godfather da bu noktada harekete geçiyor. Birçok diğer bankacılık truva atında olduğu gibi Godfather’ın da karakteristik özelliği sahte web sayfalarını; bir diğer adıyla, kötü amaçlı kişiler tarafından oluşturulan ve gerçek uygulamaların üstünde gösterilen HTML sayfalarını kullanmak. Kullanıcı bu sahte web sayfalarıyla; Godfather tarafından hedef alınan gerçek bir uygulamayı açmak ya da cihazında yüklü, hedef alınan bir bankacılık veya kripto uygulamasının sahte bildirimine yanıt vermek suretiyle iki şekilde etkileşime geçebiliyor.
Sahte web sayfaları gerçek uygulamaların oturum açma sayfalarını taklit ediyor ve bu sahte HTML sayfalarına girilen kullanıcı adı ve parola gibi tüm veriler, C&C sunucularına gizlice gönderiliyor. Godfather’ın anlık bildirimleri gizlice başka yerlere gönderip iki faktörlü kimlik doğrulama kodlarını toplama işleviyle kötü amaçlı kişiler, bu giriş bilgilerini topluyor, gerçek uygulamalara giriş yapmak için kullanıyor ve ardından kullanıcının hesaplarını boşaltıyor.
Godfather’ın işlevleri ayrıca şunları da içeriyor:
Kurbanın cihazının ekranını kaydetme
VNC bağlantıları kurma
Tuş kaydedici çalıştırma
Anlık bildirimleri gizlice başka yerlere gönderme (iki faktörlü kimlik doğrulamasını atlatmak için); truva atının önceki sürümleri ayrıca SMS mesajlarını da gizlice başka yerlere gönderiyordu
Çağrı yönlendirme (iki faktörlü kimlik doğrulamasını atlatmak için)
USSD istekleri gönderme
Bulaştığı cihazlardan SMS mesajı gönderme
Vekil sunucu açma
Websocket bağlantıları kurma (Godfather’ın Eylül 2022’deki yeni sürümüne eklendi)
ADEO, Microsoft Akıllı Güvenlik İşbirliğine katılan ilk ve tek Türk siber güvenlik şirketi oldu.
Firma, Microsoft’un liderlik yaptığı ve siber güvenlik sektöründe söz sahibi üreticilerle servis sağlayıcıları bir araya getiren Microsoft Intelligence Security Assocation’a (MISA) dahil oldu.
Siber Bülten’e konuşan ADEO Siber Güvenlik Stratejiden Sorumlu Başkan Halil Öztürkci, birliğin temel amacının modern siber saldırılara karşı koymak için gerekli iş birlikteliklerini oluşturmak olduğunu belirterek,
“Bildiğiniz gibi teknoloji tek başına siber saldırılara karşı savunma sağlamak için yeterli değil. Mutlaka bu teknolojiyi en iyi şekilde kullanan uzmanların ve bu uzmanların işlettiği süreçlerin de siber savunmanın içinde aktif şekilde yer alması gerekiyor. İşte ADEO bu konuda kendini ispatlamış yetkinliği ile yönetilen siber güvenlik servis sağlayıcı olarak bu birliğin bir parçası oldu.” dedi.
“SİBER TEHDİT İSTİHBARATI VE TECRÜBE PAYLAŞIMI İLE DAHA OLGUN ÇÖZÜMLER SUNULUYOR”
Öztürkci, MISA’nın siber güvenlik alanında çok iyi işler yapmış üyelerden oluştuğunu ve coğrafi olarak da bütün dünyanın neredeyse her yerinden katılımın olduğu bir birlik olduğunu vurguladı.
MISA’da yer alan üyelerin hem birbirleri ile geliştirdikleri iş birliktelikleri ile çok daha olgun çözümler sunulabildiklerine işaret eden Öztürkci, “Özellikle Yönetilen Güvenlik Hizmet Sağlayıcısı (MSSP) olarak yer alan firmaların birbirleri ile paylaştıkları siber tehdit istihbaratı ve tecrübe paylaşımı sayesinde hizmet sundukları müşterileri için siber saldırılara karşı global görünürlük kazanmış yerel bir koruma sağlama imkanı kazanmış oluyorlar.” diye konuştu.
ADEO olgunlaşmış MSSP yapısı ile bu konuda birliğe çok önemli katkılar sağlayacak durumda olduğunun altını çizen Öztürkci, “Birlikteki diğer önemli oyuncularla kurduğu iş birliğinin Türkiye’de hizmet verdiğimiz şirketler/kurumlar için de çok önemli bir faydası var.” ifadelerini kullandı.
“GLOBAL BİR İŞ BİRLİĞİ İLE YEREL BİR KALKAN OLUŞTURMA İMKANI SAĞLANIYOR”
Öztürkci ADEO’nun MISA birliğine katılmasına ilişkin ayrıca şu değerlendirmelerde bulundu:
“Birlik, global bir tehdit olan siber saldırılara karşı yine global bir iş birliği ile desteklenen yerel bir kalkan oluşturma imkanı sağlıyor. ADEO olarak sunduğumuz Yönetilen Tespit ve Müdahale Hizmetleri (MDR) global seviyede kabul görmüş kalitede bir servis ve bu birliğin üyeleri ile yapılan iş birliktelikleri ile müşterilerimize sunduğumuz servis çok daha gelişmiş bir hale geliyor.”
MISA’ya üyelik değerlendirmesi yapılırken öncelikle firmaların MSSP olarak sunduğu servislerin ne kadar olgun olduğuna bakılıyor. Bunun dışında şirketlerin teknik uzmanlığının birliğe üyelik için gerekli yeterliliğe sahip olmadığı inceleniyor.
